admin 一、现有气象网络安全状况
1、高级威胁呈上升趋势
气象网攻击手法从最初的简单工具或自动化脚本的初级攻击手段,逐渐成为APT、0day、社工等高级攻击方法。
从起初的单一手段攻击,演变到多工具手段的复合使用。从起初的黑客个人行为,演变到由利益驱动的组织化。气象部门各类网络安全攻击事件层出不穷,网络安全防御压力增大。气象部门传统的通过安全事件推动,由处置已知安全威胁所衍生的网络安全解决方案已经远远不足以应对目前复杂、多变的安全态势。
2、被动防御无法阻挡APT、0day
气象部门现行的网络安全防御机制,往往由防火墙、入侵检测、网闸及防毒软件建构其核心检测能力,这些产品依靠已知攻击特征码进行模式匹配来检测已知的网络攻击,在一些特定情况下,也可检测针对已知漏洞的新的未知攻击。
气象部门现行的网络安全防御机制能够非常有效地监测到一般的已知网络攻击,如:蠕虫、特洛伊木马、间谍软件、botnet及基本的电脑病毒等,但针对现今高级可持续威胁和东西流量安全,却完全没有招架之力。在大多数情况下,APT攻击面对气象部门传统的安全防御机制时,犹如入无人之境,因为这些攻击没有特征码,故气象部门传统的网络安全防御机制无法检测攻击者在起始阶段所采取的攻击手段,最终导致网络攻击者可以任意的控制气象部门网络。
3、网络安全攻击无法溯源取证
气象部门传统的网络安全产品只能根据现有安全策略组进行防御和阻断,对高级威胁行为无法进行有效的感知,从而也无法对攻击者的属性信息、攻击手法、攻击路径、攻击意图进行有效的判定和监控,因此在面对正在进行的攻击及入侵后的攻击溯源等问题上缺乏行之有效的方法。
二、 构建气象部门积极主动防御网络安全体系总体思想
总体思路:通过积极主动防御把威胁防护左移,把安全介入杀伤链的阻击时间提前,把被动挨打的龟壳式防御状态扭转为攻防平等对抗的状态,变被动为主动。
1、利用高仿真应用,把蜜罐沙箱平行部署于气象部门真实应用周围,混淆入侵者情报,让攻击者在侦查跟踪阶段就无法正确获取标靶;
2、不影响应用正常使用前提下,利用伪装代理、微蜜罐、中继节点的方式做沙箱发布,利用气象部门真实的空端口、空IP、虚假页面组建蜜网,多维度欺骗防御威胁者,增加攻击者命中蜜网沙箱的概率,增强威胁感知能力;
3、识别真人攻击与机器扫描的区别,对真人攻击能够获取攻击者的唯一硬件指纹,锁定威胁源,实现零误报。
4、通过扩大积极欺骗防御的感知面和感知时间,积累掌握足够的定制化威胁情报。该威胁情报不再是价值低、容易仿造的IP/URL,而是包括入侵者画像、黑客入侵路径及手法的高级威胁情报。通过该情报库可以指导精准溯源、更早介入安全告警、协助构建精准安全响应方案。
三、构建气象部门积极主动防御网络安全体系具体措施
1、混淆攻击,增加攻击成本
通过克隆气象部门业务的高仿真沙箱,混淆黑客的攻击目标,将攻击隔离进沙箱系统,延缓攻击进程,并且以邮件等形式通知气象部门管理员,为应急响应争取宝贵时间,降低气象部门信息资产、数据资产受损的风险。基于全链路欺骗,使攻防信息不对称,指数级提升攻击成本和难度,树立安全的威慑力。
2、部署诱饵文件,增强办公网入侵检测
气象部门办公网一直是网络安全的重灾区,气象部门需要在其办公网的PC终端机上安装诱饵文件,诱饵文件与沙箱联动,当攻击者攻击PC终端机准备利用PC终端机做跳板机,一旦“咬到”诱饵文件,就可以立马检测到攻击,并且通知气象部门管理员,及时采取措施。
3、伪装代理,攻击流量转移
利用“伪装代理”技术在气象部门真实服务器上建立伪装端口,使得攻击者在攻击客户真实服务器的时候让攻击者非常容易感知到伪装端口,伪装端口会把流量转移到沙箱中,同时,能够实时检测到资产被真正入侵。
气象部门还可以通过在网络层构建虚拟IP,并开通相关的端口映射到沙箱上,只要攻击者只要开始攻击该虚拟IP地址即可进入到虚假的沙箱内,实时检测有攻击者尝试攻击气象部门网络。
4、多角度、全方位的流量分析体系
通过捕获气象部门内对外、外对内和内对内多个方向网络流量,通过失陷威胁、横向移动、内部违规、外部威胁等分析方式,全面对各类攻击行为进行覆盖,能够大量检测出僵木蠕攻击、恶意挖矿、恶意后门等攻击类型。
5、动态联合分析,确定有效攻击
通过流量分析、网络层欺骗诱捕和应用层网站欺骗诱捕,在真真假假虚虚实实地诱捕页面和真实服务之间,一方面可以增加黑客的攻击成本,另一方面可以实现攻击精准检测0误报,实现有效攻击确认。
6、智能化阻断策略
能够实施对4-7层网络层通讯进行智能化策略阻断,可实施域名阻断、服务端IP阻断以及客户端IP阻断。同时还能够实施黑名单阻断和白名单阻断,加入白名单的地址,当对某个域名添加了黑名单打击,则所有人都不能在访问该域名,若启用了白名单打击,则所有人都只能访问到白名单打击中的域名。
7、溯源分析,帮助调查取证
通过详细记录攻击者执行的操作,并且可以获取攻击者的浏览器信息、操作系统信息、地理地址、设备的指纹、以及攻击者的一些社交账号,方便气象部门针对此攻击者的取证调查和溯源追踪。
8、攻击反制,解决攻防不对称
通过先进的攻击反制技术,对攻击者采取反监听措施,并可反向获取攻击者信息。气象部门可通过实现对攻击者的全面收集,获取全量的情报信息,包含攻击者当前使用设备的基本信息、WiFi连接状态和网络适配信息,以及攻击者的账户和进程信息等,来解决攻防不对称问题,实现对攻击者的反制。
四、总结
构建气象部门积极主动防御网络安全体系,不同于传统的蜜罐。积极主动防御机制是通过伪装发布,把蜜网融入气象部门的业务系统;通过基于黑客的入侵思路,一步一步把攻击者引诱到陷阱;实时追踪、记录、审计攻击者的行为。让防御更早地介入攻击环节,实现更准确、更强大的安全防护。
与IDS、APT等传统设备相比,积极主动防御网络安全体系思想是完全不同的思路和角度实现的网络安全威胁防范解决方案。积极主动防御能够完全切合等级保护2.0的主动防御思想,能够全面实现高级威胁的防护,也能够实现真正意义上的实战攻防对抗能力。